本文介绍如何创建证书部署任务,在指定的部署时间,单个或批量地将SSL证书部署至阿里云云产品。
部署SSL证书时,如遇到问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
前提条件
本文不涉及ECS、轻量应用服务器的操作指导,如需将证书部署至ECS或轻量应用服务器,请参见更新证书(非首次部署)至阿里云ECS或轻量应用服务器。
已签发的SSL证书名称不能包含中文。如图:
域名已完成工信部ICP备案(仅限中国内地部署的服务)。
确认证书状态,以及证书和目标域名的匹配情况。
使用限制
部署国际标准证书
说明若您使用的产品不在“云产品部署”功能支持的范围内,请参考相关云产品的文档进行部署。
以下表格中的“更新已有证书”表示云产品已部署过证书,当前需要替换证书的场景。
云产品
部署任务适用场景
证书配置场景
云虚拟主机
首次部署证书、更新已有证书
HTTPS加密访问网站场景
容器镜像服务ACR
更新已有证书
HTTPS域名访问容器镜像服务企业版实例场景
容器服务Kuberbetes版本ACK
更新已有证书
ACK托管与专有集群:更新AlbConfig证书配置、更新Secret证书
重要部署至 Secret 时,请勿在容器服务ACK中手动修改。
Serverless应用引擎-网关路由
更新已有证书
网关路由转发协议配置HTTPS场景(ALB和CLB)
函数计算FC
更新已有证书
HTTP函数场景
微服务引擎-云原生网关
更新已有证书
云原生网关路由场景
API网关
更新已有证书
HTTPS域名访问API场景
全球加速GA
更新已有证书
HTTPS域名安全加速访问场景
应用型负载均衡ALB
网络型负载均衡NLB
传统型负载均衡CLB
更新已有证书
HTTPS监听来转发来自HTTPS协议的请求的场景(服务器证书)
说明部署客户端证书,请参见配置全链路HTTPS访问实现加密通信。
内容分发网络CDN
首次部署证书、更新已有证书
HTTPS安全加速场景
全站加速DCDN
首次部署证书、更新已有证书
HTTPS安全加速场景
对象存储OSS
更新已有证书
HTTPS的方式访问OSS服务场景
说明绑定CDN加速域名,需在CDN控制台替换证书。
Web应用防火墙(WAF)
更新已有证书
CNAME接入场景
DDoS高防
更新已有证书
DDoS高防域名接入场景
视频直播
首次部署证书、更新已有证书
推/播流HTTPS安全加速场景
视频点播
首次部署证书、更新已有证书
分发加速场景
人工智能平台 PAI
更新已有证书
模型在线服务EAS(Elastic Algorithm Service):专属网关使用自定义域名
部署国密证书(仅CDN、DCDN和DDoS防护产品支持)
内容分发网络CDN:请参见调用SetCdnDomainSMCertificate接口设置国密证书。
全站加速 DCDN:请参见配置国密HTTPS。
DDoS 防护:请参见更换服务器HTTPS证书。
操作步骤
步骤一:购买部署次数
仅部署上传证书类型的证书时会消耗部署次数。非上传证书类型,请直接前往步骤二:授权检查。
部署次数不足时,请购买部署次数,费用为30元/次,有效期为一年。
非上传证书类型,以及不同阿里云账号(账号需归属于同一个经过实名认证的个人或企业用户)之间共享的证书,部署时不消耗部署次数。部署失败时,将返还相应的部署次数。
步骤二:授权检查
非容器服务ACK类型的部署任务,请直接前往步骤三:部署证书至云产品资源。
部署证书至容器服务ACK前,您需要通过阿里云账号登录容器服务ACK控制台,对AliyunCASDefaultRole角色授予运维人员管理目标集群的权限,否则数字证书管理服务控制台无法识别Namespace(集群命名空间)。
进入容器服务ACK授权管理页面,并在RAM角色管理页签,输入
AliyunCASDefaultRole,单击管理权限。在权限管理页签,对目标集群添加运维人员权限。
步骤三:部署证书至云产品资源
部署单个证书至云产品资源
首次使用部署服务,需要按照页面提示进行授权,授权后即可创建部署任务。关于授权说明,请参见授权访问云资源。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在SSL证书管理页面,单击对应的证书页签,并在证书列表的操作列,单击部署。
通过私有CA服务签发的证书会同步至上传证书页签,您可以在该页签进行操作。
在创建任务页面的选择资源引导页,选择或调整对应的云产品和资源(支持选择一个或多个云产品及对应资源),单击预览并提交。
系统会根据您选择的SSL证书智能匹配已经配置过SSL证书的云产品资源,您可以在智能匹配提示对话框,单击确定,系统会将匹配到的云产品资源添加到已选择资源区域,随后您可以根据需求对已选择的云产品资源进行调整。
系统会自动识别并拉取所有云产品中的资源,如果您在对应的云产品中未找到目标资源,请您确认以下事项:
在资源总数区域确认资源是否已完成同步,如果资源正在同步中(如图示灰色状态),请您耐心等待资源同步完成。资源同步时间取决于您的当前云产品的资源数。
如果云产品资源同步完成后仍然没有找到对应资源,请您确认是否满足证书部署前提条件。
在任务预览面板,确认部署的证书实例和云产品资源信息,如无问题,单击提交。
预览页面会显示对应云产品匹配的证书个数和消耗的部署次数。证书匹配个数为0表示您选择的证书与云产品资源不匹配,会导致部署失败,请您仔细核对选择的证书。
批量部署证书至云产品资源
首次使用部署服务,需要按照页面提示进行授权,授权后即可创建部署任务。关于授权说明,请参见授权访问云资源。
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在云产品部署页面,单击创建任务,按照以下步骤部署SSL证书。
在基础配置引导页,配置任务名称、联系人和部署时间,单击下一步。
配置项
说明
任务名称
自定义部署任务名称。
联系人
选择部署任务消息提醒联系人,用于接收部署任务提醒消息,最多支持添加10个联系人。
部署时间
立即部署:立即部署证书至阿里云产品。
自定义时间:指定部署任务执行时间,系统会在指定的时间启动部署任务。
在选择证书引导页,选择与云产品资源对应的SSL证书,单击下一步。
通过私有CA服务签发的证书会同步至上传证书页签,您可以在该页签进行选择。
一个部署任务只允许选择一种证书类型下的证书。
在选择资源引导页,选择或调整对应的云产品和资源(支持选择一个或多个云产品及对应资源),单击预览并提交。
说明SLB单个监听绑定多个服务器证书场景不支持批量部署。
系统会根据您选择的SSL证书智能匹配已经配置过SSL证书的云产品资源,您可以在智能匹配提示对话框,单击确定,系统会将匹配到的云产品资源添加到已选择资源区域,随后您可以根据需求对已选择的云产品资源进行调整。
系统会自动识别并拉取所有云产品中的资源,如果您在对应的云产品中未找到目标资源,请您确认以下事项:
在资源总数区域确认资源是否已完成同步,如果资源正在同步中(如图示灰色状态),请您耐心等待资源同步完成。资源同步时间取决于您的当前云产品的资源数。
如果云产品资源同步完成后仍然没有找到对应资源,请您确认是否满足证书首次部署场景。部署说明,请参见前提条件。
在任务预览面板,确认部署的证书实例和云产品资源信息,如无问题,单击提交。
预览页面会显示对应云产品匹配的证书个数和消耗的部署次数。证书匹配个数为0表示您选择的证书与云产品资源不匹配,会导致部署失败,请您仔细核对选择的证书。
相关操作
查看部署任务详情
在云产品部署页面,定位到目标部署任务,在操作列,单击详情。
在任务详情页,您可以查看目标云产品中实例资源的部署情况,如果有部署失败的资源,您可以在操作列,查看失败原因并做进一步处理。
如定位不出具体的失败原因,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
回滚部署任务
部署任务回滚成功后不返还部署次数。
证书部署成功后,如发现部署的证书不正确或出于其他原因想要撤销当前证书的部署,可通过以下步骤回滚到部署开始前的状态:
在云产品部署页面,定位到目标部署任务,在操作列,单击详情。
在任务详情页,单击对应云产品,并定位到目标云产品中的实例资源,在操作列,单击回滚。
回滚成功后,任务状态变为回滚成功。
删除部署任务
删除任务后无法恢复,请谨慎操作。
在云产品部署页面,定位到目标部署任务,在操作列,单击删除。您也可以选中多个部署任务,在列表下方单击删除。
常见问题
SSL证书是否支持跨阿里云账号部署云产品?
阿里云SSL证书不能直接跨账号部署。
如果多个账号属于同一实名认证主体,可通过证书共享功能实现免费跨账号部署;具体操作,请参见上传、同步和共享SSL证书。
若账号实名认证主体不同,则需在原账号下载证书后,再前往目标账号手动上传和部署。
证书部署成功后,云产品就一定启用了HTTPS吗?
在数字证书管理服务控制台完成云产品部署后,仅表示证书已经推送至对应云产品,您仍需前往对应的云产品控制台验证。
部署证书时云产品资源数显示为0?
创建部署任务时,系统会自动识别并拉取所有云产品中的资源,如果您在对应的云产品中未找到目标资源,请您确认以下事项:
在资源总数区域确认资源是否同步完成,如果资源正在同步中(如图示灰色状态),请耐心等待。资源同步时间取决于当前云产品的资源数。
如果云产品资源同步完成后,仍无法找到对应资源,请确认是否满足证书部署首次配置,如果不满足请前往对应的云产品控制台部署。